اول چک شود

مجازیستشورای عالی فضای مجازی با توجه به اهمیت مسئله اعتبارسنجی تجهیزات و خدمات فضای مجازی، سند «نظام اعتبار سنجی امنیتی تجهیزات، سامانه‌ها و سکوهای ارائه دهنده خدمات براساس طرح کلان و معماری شبکه ملی اطلاعات» را برای اجرا ابلاغ کرد. طبق این سند سامانه‌های مرتبط با شبکه ملی اطلاعات و پلتفرم‌های بزرگ از نظر امنیتی در آزمایشگاه‌ها مورد بررسی قرار خواهند گرفت.

تدوین این سند با توجه به توسعه فناوری‌ها و گسترش انواع سامانه‌ها، پلتفرم یا سکوها و به ویژه برنامک‌های گوشی‌های هوشمند و اهمیت امنیت تجهیزات ، سامانه‌ها خدمات و دارایی‌های فضای مجازی در دستور کار قرار گرفت.

طبق تعریف این سند نظام اعتبار سنجی امنیتی تجهیزات و سامانه‌های ارائه کننده خدمات، نظامی است که با تعریف و استقرار فرایندها و سازوکارهای ارزیابی و اعتبارسنجی امنیتی در چرخه حیات انواع تجهیزات، سکوها، نرم‌افزارها، سخت‌افزارها و نرم افزار و برنامک‌ها در همه انواع کاربردها، صدور گواهی عرضه و بکارگیری آنها را از منظر الزامات شبکه ملی اطلاعات و اهداف عملیاتی طرح کلان و معماری شبکه ملی مدیریت و راهبری می‌کند. اهدف از اجرای این سند ارتقای سطح امنیت تجهیزات و سامانه‌های در ارتباط با شبکه ملی اطلاعات و پلتفرم‌های بزرگ ارائه دهنده خدمات است.

طبق پیش‌بینی‌های صورت گرفته در این سند از این پس تمامی سامانه‌ها که در ارتباط مستقیم با شبکه ملی اطلاعات قرار دارند و همچنین پلتفرم‌های بزرگ کشور که بستر ارائه خدمات به تعداد زیادی از شهروندان هستند باید از آزمایشگاه‌های مخصوص مورد تایید این نظام اعتبار سنجی شوند و امنیت آنان مورد بررسی قرار گیرد.

توسعه بسترهای ارائه خدمات الکترونیکی در کشور و همچنین توسعه سامانه‌ها و ارائه خدمات از طریق پلتفرم‌ها به شهروندان اهمیت ایجاد امنیت و نظارت بر آن را دو چندان کرده است. از ابتدای سال ۹۹ و هم‌زمان با شیوع کرونا و به تبع آن گسترش ارائه خدمات در فضای مجازی میزان حمله به سامانه‌ها و در نهایت درز اطلاعات از طریق برخی از آنها افزایش یافته است. از همین رو مرکز ملی فضای مجازی و شورای عالی فضای مجازی دست به تدوین سندی زده است که طبق آن می‌خواهد نظام اعتبار سنجی امنیتی تجهیزات، سامانه‌ها و سکوهای ارائه دهنده خدمات را اجرا کند.

برای راهبری این نظام مقرر شده است تا کارگروهی با حضور نمایندگانی از وزارت ارتباطات، وزارت اطلاعات، سازمان ملی استاندارد، نماینده مرکز افتای ریاست جمهوری، نماینده پلیس فتا، نماینده سازمان پدافند غیرعامل و نماینده سازمان نظام صنفی رایانه‌ای کشور تشکیل شود. وظیفه این کارگروه بررسی پیشنهادات و تصویب و ابلاغ آیین نامه‌ها و دستورالعمل‌های فنی و اجرایی در زمینه‌های مختلفی مانند سطح‌بندی‌های مورد نیاز برای گواهی‌ها استاندار است است. از جمله وظایف دیگری که می‌توان به آن اشاره کرد بررسی و انتظام بخشی در خصوص استفاده از تجهیزات، سامانه‌ها و پلتفرم‌های خارجی است. طبق پیش‌بینی‌های صورت گرفته در این نظام این محصولات پس از تایید نمونه وعبور از گمرک برای نظارت و ارزیابی مستمر تحت پوشش این نظام قرار خواهند گرفت.

براساس این سند، فعالیت‌های اصلی مد نظر این نظام شامل اعتبارسنجی آزمایشگاه‌ها و اعطا، لغو و تمدید گواهی مرتبط با آزمون‌های امنیتی، اعتبارسنجی امنیتی تجهیزات، سامانه‌ها و سکوهای ارائه دهنده خدمات ، نظارت بر صحت اجرای فرایندها و کیفیت گواهی صادره و تدوین و ابلاغ دستورالعمل‌های فنی مورد نیاز این نظام خواهد بود.

از جمله اهداف این سند می‌توان به حصول اطمینان از تطابق تجهیزات، سامانه‌ها و سکوها با الزامات شبکه ملی اطلاعات و همچنین ایجاد رویه و فرایندهای شفاف اعطا، گواهی امنیتی به تجهیزات، سامانه‌ها و سکوهای ارائه دهنده خدمات فضای مجازی و ایجاد آزمایشگاه‌های تخصصی اشاره کرد. از دیگر اهداف در نظر گرفته شده از تدوین این سند ایجاد نظام نظارت مستمر بر وضعیت امنیت این تجهیزات است.

طبق پیش‌بینی‌های صورت گرفته این سند بیشتر اعتبارسنجی آزمایشگاه‌ها و اعطا لغو یا تمدید گواهی‌های مرتبط با آزمون‌های اعتبار سنجی را مدنظر قرار داده است. همچنین اعتبار سنجی امنیتی تجهیزات و سامانه‌ها و سکوها یا پلتفرم‌های فضای مجازی از دیگر مواردی است که در زیرمجموعه اعتبارسنجی این سند قرار خواهند گرفت.

در این سند دو نوع آزمایشگاه پیش‌بینی شده است که براساس اهمیت سامانه یا تجهیزات برای ارزیابی امنیتی به هر کدام از آزمایشگاه‌ها ارسال می‌شوند. نوع اول آزمایشگاه‌ها برای آزمون‌های پراهمیت مانند تجهیزات، سامانه و سکوهای مورد استفاده در سازمان‌ها یا متصل و متعامل با پایگاه‌های دولتی و زیرساختی کشور مورد استفاده قرار می‌گیرند همچنین پلتفرم‌های ارائه کننده خدمات در مقیاس بزرگ و مورد نیاز کشور نیز باید برای تست سامانه خود و تجهیزاتشان و همچنین برنامک خود از طریق این آزمایشگاه‌ها اقدام کنند.  نوع دوم، آزمایشگاه‌هایی که محیطی کم هزینه و ساده برای آزمون فراهم می‌کنند، در این آزمایشگاه محصولات توسعه دهندگان فردی یا شرکت‌های خصوصی مورد ارزیابی قرار می‌گید.

همچنین دبیرخانه موظف است براساس سند نظام ملی پیشگیری و مقابله با حوادث از دستگاه‌های مسئول تعیین شده در این سند گزارش ارزیابی دوره‌ای عملکرد نظام از جمله صحت سنجی گواهی های صادره و اثربخشی اقدامات در حوزه صنعت و نیز ایجاد اعتماد مصرف کننده را دریافت کنند و به مرکز ملی فضای مجازی ارسال کنند.

متن کامل سند «نظام اعتبار سنجی امنیتی تجهیزات، سامانه‌ها و سکوهای ارائه دهنده خدمات براساس طرح کلان و معماری شبکه ملی اطلاعات» را از اینجاببینید.

/پیوست/

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.

جایزه همراه اول